AMP

Защита от сторонних атак

Примите меры для защиты вашего сайта и пользователей от сетевых уязвимостей. Одной из самых опасных уязвимостей является межсайтовый скриптинг (XSS). XSS — это ошибка безопасности, которая может позволить злоумышленнику внедрить вредоносный код на HTML-страницы, просматриваемые пользователями.

Чтобы защититься от подобных атак, вы можете задействовать политику безопасности контента (CSP). AMP-кеши, такие как Google AMP Cache, добавляют CSP на ваши страницы автоматически. Однако при просмотре некешированной версии страницы этот дополнительный слой безопасности отсутствует, если только вы не добавите свою собственную CSP.

Внедрение CSP-политики AMP

Чтобы внедрить CSP-политику, добавьте соответствующий метатег в элементы head на своих страницах. Ниже представлена CSP-политика AMP, которая позволяет вставлять на вашу страницу только скрипты AMP:

<meta
  http-equiv="Content-Security-Policy"
  content="default-src * data: blob:; script-src blob: https://cdn.ampproject.org/v0.js https://cdn.ampproject.org/v0/ https://cdn.ampproject.org/viewer/ https://cdn.ampproject.org/rtv/; object-src 'none'; style-src 'unsafe-inline' https://cdn.ampproject.org/rtv/ https://cdn.materialdesignicons.com https://cloud.typography.com https://fast.fonts.net https://fonts.googleapis.com https://maxcdn.bootstrapcdn.com https://p.typekit.net https://use.fontawesome.com https://use.typekit.net; report-uri https://csp-collector.appspot.com/csp/amp"
/>

Полный пример можно просмотреть здесь.